Con la determinazione pubblicata il 31 luglio 2025, l’Agenzia per la Cybersicurezza Nazionale fissa le modalità operative e le responsabilità concrete per la compliance alla Direttiva NIS2. Tutto passa dal Portale ACN, con obblighi tracciabili, tempistiche rigide e responsabilità personali. Per Claudio Panerai (ReeVo), è il momento di superare la logica commerciale e costruire un approccio maturo basato su governance, accountability e continuità operativa
Il cambio di passo dell’ACN: tracciabilità, responsabilità e fine della zona grigia
La scadenza è arrivata. Dopo lo slittamento del termine per l’adeguamento dal 30 giugno al 31 luglio, il D-Day della NIS2 è diventato realtà.
Una data che rappresenta uno spartiacque per la sicurezza informatica nel nostro Paese. Cosa che ACN, l’Agenzia per la Cybersicurezza Nazionale, non ha mancato di sottolineare, se pure a modo suo.
Nel giorno stesso in cui scadeva la finestra per l’aggiornamento annuale previsto dall’art. 7 del D.lgs. 138/2024 – il decreto che recepisce la Direttiva NIS2 – l’Agenzia ha infatti pubblicato la nuova determinazione direttoriale n. 0283727.
Un atto normativo corposo e dettagliato, che sostituisce la precedente determinazione del 10 aprile 2025 e che segna, di fatto, l’inizio di una nuova stagione di compliance. L’obiettivo è chiaro: mettere ordine, eliminare margini di ambiguità, formalizzare ruoli e procedure, e — soprattutto — rendere tutto tracciabile, vincolante e verificabile.
Il primo punto è la centralità del Portale ACN, che da oggi è de iure e de facto l’unico canale autorizzato per registrazioni, aggiornamenti e comunicazioni ufficiali. Le PEC non bastano più. Ogni operazione dovrà essere eseguita sulla piattaforma, entro tempistiche definite e inderogabili: registrazione iniziale tra gennaio e febbraio, aggiornamento annuale dal 15 aprile al 31 maggio, aggiornamenti continui entro 14 giorni da ogni variazione rilevante.
[NIS2, nuove regole ACN. Guarda e ascolta l’esclusiva guida multimediale firmata ReeVo Cloud & Cybersecurity]
La determinazione rafforza inoltre il principio di accountability: ogni dichiarazione ha valore legale, è soggetta al DPR 445/2000, e il mancato rispetto degli obblighi comporta sanzioni anche penali. I vertici aziendali non potranno più delegare la responsabilità al reparto IT o ai fornitori: l’intero consiglio di amministrazione dovrà essere registrato, indicato con codice fiscale e accettare formalmente la designazione sul portale.
Il messaggio è inequivocabile: la cybersecurity non è più un’opzione tecnica, ma un dovere organizzativo.
Panerai (ReeVo): “La NIS2 è una questione di resilienza operativa, non solo di compliance”
Lo sottolinea in modo molto chiaro, in questa intervista, Claudio Panerai, Technology evangelist e Solution architect in ReeVo: “Quando si parla di NIS2, la prima parola che mi viene in mente è compliance. Ma sarebbe un errore mortale leggerla solo in questi termini”.
Panerai, che da anni osserva il modo in cui le aziende italiane (e i loro partner tecnologici) reagiscono ai cambiamenti normativi, sottolinea come serve un vero e proprio cambio di paradigma.
“La NIS2 – spiega – non è un adempimento da spuntare. È un richiamo profondo a rivedere i propri processi, le proprie responsabilità, la propria resilienza. In gioco c’è la continuità operativa dell’impresa. E quindi la sua sopravvivenza”.
Panerai lavora da sempre nel canale ICT e conosce bene i meccanismi che spesso portano a ridurre ogni nuovo obbligo a una checklist o a un’occasione di vendita. Ma proprio questo — sostiene — è l’atteggiamento da abbandonare: “Se si continua ad affrontare la NIS2 come l’ennesimo fardello burocratico, non se ne esce. Bisogna spiegare che qui si parla di business. Non è una normativa per fare contento il garante. È una strategia per tenere aperta l’azienda quando le cose si mettono male”.
[NIS2, nuove regole ACN. Guarda e ascolta l’esclusiva guida multimediale firmata ReeVo Cloud & Cybersecurity]
Un atto simbolico: la fine delle proroghe, il tempo delle verifiche
La pubblicazione della nuova determinazione ACN nel giorno stesso della scadenza dell’aggiornamento annuale è probabilmente una scelta che va letta più sul piano politico e simbolico che su quello giuridico.
È un messaggio chiaro: la stagione delle deroghe è finita. L’ACN non lascia spazio a interpretazioni estensive. Chi è obbligato ad adeguarsi, lo faccia. Chi è in ritardo, recuperi. Chi non lo fa, sarà verificato e sanzionato.
La determinazione istituisce un sistema di verifiche a campione con tempi precisi (30 giorni più eventuali 20), introduce una clausola di salvaguardia per contestare obblighi sproporzionati, e stabilisce modalità di designazione per i rappresentanti NIS nei paesi extra-UE. Ogni figura è formalizzata. Ogni responsabilità è personale. Ogni comunicazione è firmata digitalmente. Ogni omissione è sanzionabile.
Cosa richiede ora l’ACN
La determinazione del 31 luglio 2025 definisce dunque un’architettura operativa molto più rigorosa rispetto al passato, introducendo nuove regole vincolanti per tutti i soggetti obbligati. Vediamole in sintesi:
- Da questo momento, tutte le comunicazioni tra i soggetti NIS e l’Agenzia per la Cybersicurezza Nazionale devono avvenire esclusivamente attraverso il Portale ACN, che diventa l’unico strumento valido per registrazioni, aggiornamenti e notifiche ufficiali.
- L’utilizzo di canali alternativi, come la PEC, sarà ammesso soltanto in casi eccezionali e solo previa esplicita autorizzazione dell’ACN.
- La determinazione chiarisce in modo puntuale la scansione temporale degli adempimenti:
- La registrazione iniziale dovrà avvenire tra il 1° gennaio e il 28 febbraio;
- L’aggiornamento annuale sarà possibile solo dal 15 aprile al 31 maggio;
- L’aggiornamento continuo dovrà essere effettuato entro 14 giorni da ogni variazione significativa, ed è disponibile fino al 14 aprile dell’anno successivo.
- Le variazioni soggette ad aggiornamento continuo includono cambiamenti nella governance, nei contatti ufficiali, negli asset strategici o nei riferimenti legali. Le scadenze stabilite sono precise, vincolanti e non soggette a proroghe automatiche.
- Particolare attenzione viene attribuita al punto di contatto, figura centrale del nuovo sistema: deve essere una persona fisica, dotata di SPID, e può essere un dipendente dell’organizzazione o di un’altra società del gruppo (in caso di holding o pubbliche amministrazioni).
- La designazione del punto di contatto e del suo sostituto, anch’essa obbligatoria, dovrà avvenire entro il 31 maggio dell’anno di iscrizione nell’elenco NIS.
- Gli organi amministrativi dovranno essere indicati per nome, con codice fiscale e indirizzo PEC, e accettare digitalmente la propria designazione tramite la piattaforma ACN.
- L’intero sistema introdotto dalla determinazione si fonda sui principi di tracciabilità e responsabilità individuale: tutte le dichiarazioni hanno valore legale e sono soggette alle disposizioni del DPR 445/2000.
- Omissioni, incongruenze o mancate comunicazioni sono soggette a sanzioni amministrative e penali, secondo quanto previsto dall’art. 38 del decreto NIS.
- L’ACN potrà attivare verifiche a campione entro 30 giorni dalla ricezione della documentazione, con una possibile proroga di ulteriori 20 giorni in caso di necessità.
- Due ulteriori elementi completano il quadro normativo:
- Le imprese che ritengano gli obblighi eccessivamente onerosi potranno attivare una clausola di salvaguardia, la cui disciplina sarà definita con un futuro DPCM;
- I soggetti extra-UE con attività rilevanti in Italia dovranno nominare un rappresentante NIS tra il 1° settembre e il 30 novembre. Tale rappresentante potrà anche ricoprire il ruolo di punto di contatto.
- La portata della determinazione è ampia e strutturale: non si tratta di un semplice aggiornamento, ma della formalizzazione di una nuova infrastruttura digitale della compliance, fondata su responsabilità chiare, azioni verificabili e tracciabilità completa di ogni passaggio.
ReeVo: non soluzioni preconfezionate, ma accompagnamento alla resilienza
Potremmo quasi definirla, dunque, una burocrazia della cybersecurity fondata su princìpi di trasparenza, reattività e affidabilità. In questo scenario, anche il canale IT è chiamato a ripensare il proprio ruolo.
Lo sottolinea di nuovo Claudio Panerai, evidenziando come, in questo contesto, ReeVo abbia scelto una posizione netta: non vendere soluzioni “compliance ready”, ma accompagnare i partner verso un percorso di consapevolezza e costruzione della resilienza aziendale.
“Quando un partner ci interpella – racconta – ci chiede: cosa possiamo offrire ai nostri clienti per la NIS2?, la risposta non è un listino. È un percorso. Offriamo servizi tecnici, ovviamente: dal cyber risk assessment al disaster recovery, dal SOC-as-a-Service alla MFA. Ma il cuore è l’educazione all’accountability. E quando serve, coinvolgiamo studi legali specializzati, per supportare anche la parte documentale e organizzativa”.
La visione di Panerai è che la NIS2 abbia due anime: una tecnologica e una “burocratica” (anche se la parola non piace). Entrambe vanno presidiate. E vanno fatte convivere: “Non basta un firewall per essere conformi – afferma Panerai – e non basta un documento se non c’è dietro una reale protezione operativa”.
Accountability, partnership, maturità: la NIS2 chiama a una svolta culturale
Il punto finale sul quale si sofferma Panerai è culturale. Serve un ecosistema maturo. Non solo più competente, ma capace di assumersi responsabilità.
“Spero che questo nuovo impianto normativo serva a far capire che il vero valore non sta nel prodotto venduto, ma nella relazione costruita. Se vendi una soluzione e ti disinteressi del percorso di adeguamento, sei un fornitore. Se accompagni il cliente, sei un partner. E oggi abbiamo bisogno di partner veri, non di venditori veloci”.
In altre parole: è tempo di accountability, anche per chi opera nel canale. È tempo di smettere di parlare “di regole”, e iniziare a parlare “di business”. È tempo di costruire resilienza, prima ancora della compliance.
